Actif depuis 2013, ce groupe hackers russes, membres des services de renseignement, n’a cessé de harceler l’Ukraine depuis l’invasion de la Crimée et du Donbass en 2014. Ces pirates ont étendu leur activité au reste de l’Europe.

La Russie a déployé tout un éventail de forces sur l’Ukraine, y compris ses unités de pirates informatiques. Généralement assignés à des missions de renseignement, de cyberespionnage et d’infiltration, ces hackers à la solde Moscou sont désormais pleinement impliqués dans la conquête du pays voisin. La cyberdéfense ukrainienne a d’ailleurs dévoilé, fin avril, les cinq groupes de pirates russes les plus actifs depuis le début de l’invasion, avec en tête UAC-0010 ou plus communément Armageddon. On les connait aussi sous le nom Gamaredon ou Primitive Bear.

Ces appellations données par divers États ou entreprises de cybersécurité concernent le même de groupe de hackers russes spécialisés dans la capture d’information. Contrairement à ce que laisse supposer leurs noms, ces pirates préfèrent l’infiltration à la destruction. Ils ont été identifiés pour la première en 2013 dans une campagne de mail piégé à destinations des officiels ukrainiens, en plein période de révolution à Kiev. Depuis, ils n’ont cessé de harceler la population du pays.

1 500 institutions ukrainiennes visées

Au fil des ans, Armageddon a mené plus de 5 000 cyberattaques contre 1 500 institutions ukrainiennes selon le gouvernement de Kiev. Ils se sont illustrés en développant leur propre logiciel malveillant baptisé Pteranodon. Ce cheval de Troie est principalement utilisé pour les opérations d’espionnage, car il peut collecter des données en prenant des captures d’écran du bureau de la victime.

Dernier fait public en date, en mai dernier, une série de mails envoyé aux Ukrainiens avec un fichier piégé baptisé « Vengeance pour Kherson ». Cette ville ukrainienne actuellement occupée par les Russes fait l’objet d’une forte résistance de la population sur place. L’objectif est de s’infiltrer dans les ordinateurs des victimes pour récupérer les informations nécessaires ou encore détruire toutes les données sur l’appareil hameçonné. En avril, c’était par l’application de messagerie Telegram qu’ils avaient tenté de piéger des membres du gouvernement ukrainien avec l’envoi de fausses notifications.

Il est d’ailleurs possible de relier les plans de Vladimir Poutine à l’activité du groupe Armageddon. L’unité, liée aux services de renseignement russe, a intensifié ses offensives depuis janvier 2022 et a mené une autre campagne de mails piégés la veille de l’invasion, le 23 février. Les attaquants ont utilisé la méthode du « spear phishing », un hameçonnage ciblé précisément contre des individus, grâce des informations personnelles recueillies en amont.

Cinq membres identifiés par les renseignements ukrainiens

On sait qu’il est difficile d’identifier un groupe de hackers, encore plus de le relier à un gouvernement étranger. Impossible aussi de savoir exactement combien de membres en font partie. L’Ukraine est parvenue néanmoins à donner le nom de cinq membres d’Armageddon, tous employés du FSB, le service de renseignement de russe situé à Moscou. Interrogé par Numerama, Victor Zhora, directeur adjoint de l’agence de cybersécurité ukrainienne, déclare que « le groupe est composé d’officiers du FSB originaires de Crimée, c’est-à-dire des traîtres à l’Ukraine qui se sont rangés du côté de la Russie en 2014. Nous connaissons leurs noms. »

Le renseignement ukrainien avait dévoilé les photos et l’identité de ces hackers en novembre dernier. Tous travaillaient depuis la Crimée et Sébastopol, un port ukrainien situé sur la presqu’île, à l’époque prêté à la Russie pour accueillir sa base navale en mer noire. Tous étaient également employés par le FSB au moment des faits et travaillaient donc secrètement dans une Ukraine encore tranquille.

hacker armageddon
Les membres identifiés du groupe Armageddon. // Source : Services de sécurité ukrainiens

« Le principal avantage des attaques dans le cyberespace est ce haut niveau d’anonymat et la difficulté d’identifier les personnes spécifiques qui organisent ou exécutent ces opérations. Néanmoins, nous travaillons dur pour identifier chaque pirate informatique. J’espère qu’ils seront tous punis comme des criminels de guerre », nous confie Victor Zhora.

Les champions russes du phishing sont désormais bien identifiés par la cyberdéfense ukrainienne et sont rapidement repérés lorsqu’ils lancent une nouvelle campagne. Néanmoins, ils restent dangereux, notamment pour les responsables d’autres gouvernements, moins prudents lorsqu’il s’agit d’ouvrir les mails piégés de Moscou. Ainsi, plusieurs experts ont remarqué qu’Armageddon a étendu sa zone d’attaque à l’Europe et aux pays membre de l’OTAN depuis le début de l’invasion.

Des pays membres de l’OTAN pris pour cible

Fin mars, Google signale qu’un groupe de pirates russes connu sous les noms de Gamaredon, Callisto et COLDRIVER a pour la première fois été détecté dans une opération d’hameçonnage d’adresses mails de l’OTAN, de militaires en Europe de l’Est et d’ONG américaines. « Ces campagnes ont été envoyées à l’aide d’adresse Gmail nouvellement créées, reliées à des comptes extérieurs à Google, le taux de réussite est inconnu. Nous n’avons pas observé de comptes Gmail compromis », avait déclaré Billy Leonard du groupe d’analyse des menaces de Google dans un communiqué de presse. En avril, un mail piégé baptisé « informations sur les criminels de guerre russes » a été envoyé à plusieurs agences de l’Union Européenne par le fameux groupe de hacker.

mail hack
Un exemple de mail piégé envoyé aux agences de l’U.E. Ici le malware se cache dans un document censé contenir une liste des besoins militaires ukrainiens. // Source : CERT-UA

Fin mai, scandale au Royaume-uni, avec la fuite d’emails de plusieurs personnalités pro-Brexit publiés sur un site nommé « Un coup d’État très britannique » (en anglais « Very British Coop d’Etat »). Des courriels provenant prétendument des comptes de l’ancien chef du MI6 (renseignement britannique) et de plusieurs députés affirmaient qu’un groupe de politiques pro-Brexit contrôlait secrètement le Royaume-Uni. Le site prétendait qu’il existait un complot, à l’époque où Theresa May était Première ministre, visant à placer Boris Johnson à la tête du gouvernement à sa place.

En analysant le site Web, le directeur du groupe d’analyse des menaces (TAG) de Google, Shane Huntley, a déclaré à Reuters que toutes les preuves pointaient vers un groupe de pirates basé en Russie et connu sous le nom de « Cold River », autre appellation pour Armageddon. Le contenu des mails est à prendre avec des pincettes en raison du contexte tendu entre Londres et Moscou. Le Premier ministre Boris Johnson a été interdit de séjour en Russie à la mi-avril en raison de son soutien à l’Ukraine.

D’autres groupes de hackers russes – Fancy Bear, Sandworm – se chargent déjà d’attaquer les ennemis déclarés de la Russie. Armaggedon s’acharne sur l’Ukraine, mais n’a pas causé l’apocalypse cyber attendue. En revanche, personne n’est à l’abri de se faire siphonner toutes ses données par un de leurs mails piégés.